畢業(yè)設(shè)計(jì)（論文）-局域網(wǎng)與專線網(wǎng)絡(luò)的互聯(lián)

1、<p><b>　　目 錄</b></p><p>　　第一章 VPN簡(jiǎn)介4</p><p>　　第二章 IP SEC VPN的工作原理5</p><p>　　2.1 ESP （ Encapsulating Security Payload ）6</p><p>　　2.2 AH （ Authenti

2、cation Header ）7</p><p>　　2.3 IKE （ Internet Key Exchange ）7</p><p>　　第三章 VPN的特點(diǎn)分析7</p><p>　　3.1 安全保障7</p><p>　　3.2 服務(wù)質(zhì)量保證（QoS）7</p><p>　　3.3可擴(kuò)充性和靈活性

3、8</p><p>　　3.4 可管理性8</p><p>　　第四章 VPN的的實(shí)現(xiàn)技術(shù)8</p><p>　　4.1 隧道技術(shù)8</p><p>　　4.2 加密技術(shù)10</p><p>　　4.3 QoS技術(shù)11</p><p>　　第五章 本例中可能原因分析13</p&

4、gt;<p>　　第六章 對(duì)網(wǎng)管的建議13</p><p>　　第七章 VPN典型應(yīng)用分析14</p><p>　　第八章　結(jié) 論17</p><p><b>　　致謝19</b></p><p><b>　　參考文獻(xiàn)20</b></p><p>

5、<b>　　VPN虛擬專用網(wǎng)絡(luò)</b></p><p>　　摘要 VPN，現(xiàn)在有很多連接都被稱作VPN，它的意思是，虛擬專用網(wǎng),它不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。安全問(wèn)題是VPN的核心問(wèn)題。目前，VPN的安全保證主

6、要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的，可以很大程度上保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。本文將介紹了VPN工作原理、特點(diǎn)以及實(shí)現(xiàn)技術(shù)的分析。由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，所以其安全問(wèn)題比較突出。企業(yè)必須要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。而要防止信息被窺視，我們可以在自己的路由器上設(shè)置隧道技術(shù)（Tunneling）、加解密技術(shù)（En

7、cryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。最后將介紹了VPN的一些典型應(yīng)用。</p><p>　　關(guān)鍵詞： VPN、IP SEC、隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù) 、L2TP</p><p>　　Title The business safely m

8、anagement solving schema of IPSEC VPN is analyzed and is explained</p><p>　　Abstract: VPN attends to name to think justice, the fictitious net for special purpose does not be the real network for special pur

9、pose , but can realize the function of the network for special purpose. It is fictitious to claim , denote user need to not possess actual long-distance data line again, and it is to use the long-distance data line of th

10、e Internet data network of the public. It can think that self established one most accords with the network of self demand if the network for special</p><p>　　Keywords: VPN、IP SEC、Tunneling technology、 Encry

11、ption technology、 Key Management technology、user and equipment status authentication technology、L2TP</p><p><b>　　引 言</b></p><p>　　VPN的構(gòu)成的技術(shù)，目前比較成熟，在構(gòu)成VPN的方式上，也有多種方法進(jìn)行搭配，而VPN的技術(shù)核心是

12、不變的，即通過(guò)隧道技術(shù)來(lái)完成數(shù)據(jù)的加密，傳輸。為此，我們需要了解什么是VPN？VPN又包括幾種實(shí)現(xiàn)方式，組合的變化有什么區(qū)別。</p><p>　　第一章 VPN簡(jiǎn)介</p><p>　　其實(shí)，虛擬專用網(wǎng)絡(luò)，也就是VPN可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提</p><p>

13、　　供與專用網(wǎng)絡(luò)一樣的安全和功能保障。（圖1）</p><p>　　虛擬專用網(wǎng)絡(luò)允許外部人員遠(yuǎn)程使用Internet等公共互聯(lián)網(wǎng)絡(luò)的設(shè)施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務(wù)器建立連接。虛擬專用網(wǎng)絡(luò)對(duì)用戶端是透明的，用戶就等同于使用一條專用線路在客戶計(jì)算機(jī)和企業(yè)服務(wù)器之間建立點(diǎn)對(duì)點(diǎn)連接，進(jìn)行數(shù)據(jù)的傳輸。</p><p>　　虛擬專用網(wǎng)絡(luò)技術(shù)同樣支持企業(yè)通過(guò)Internet等公共互聯(lián)網(wǎng)絡(luò)與

14、分支機(jī)構(gòu)或其它公司建立連接，進(jìn)行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網(wǎng)建立的連接。</p><p>　　雖然VPN通訊是建立在公共互聯(lián)網(wǎng)絡(luò)的上的，但是我們?cè)谑褂脮r(shí)感覺(jué)如同在使用專用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸通信，所以得名虛擬專用網(wǎng)絡(luò)。</p><p>　　第二章 IP SEC VPN的工作原理</p><p>　　IPSec 的工

15、作原理（如下圖所示）類似于包過(guò)濾防火墻，可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過(guò)濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的 IP 數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種：一是丟棄，二為轉(zhuǎn)發(fā)。</p><p>　　IPSec 是通過(guò)查詢安全策略數(shù)據(jù)庫(kù)決定對(duì)接收到的 IP 數(shù)據(jù)包的處理的。但是 IPSec也有一點(diǎn)不同

16、于包過(guò)濾防火墻，對(duì) IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)（繞過(guò) IPSec ）外，還有一種，即進(jìn)行 IPSec 處理。正是這新增添的處理方法提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。 進(jìn)行 IPSec 處理意味著對(duì) IP 數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過(guò)濾防火墻的作用就是控制來(lái)自或去往某個(gè)站點(diǎn)的 IP 數(shù)據(jù)包的通過(guò)，可以拒絕來(lái)自某個(gè)外部站點(diǎn)的 IP 數(shù)據(jù)包訪問(wèn)內(nèi)部某些站點(diǎn)，．也可以拒絕某個(gè)內(nèi)部站點(diǎn)方對(duì)某些外部網(wǎng)站的訪問(wèn)。但是包過(guò)濾

17、防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過(guò)篡改。只有在對(duì) IP 數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，通過(guò) Internet 進(jìn)新安全的通信才成為可能。 IPSec 可以加密和認(rèn)證，同時(shí)使用，也是可以分開(kāi)的。但無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證， IPSec 都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。 傳輸模式，只對(duì) IP 數(shù)據(jù)包的有效

18、負(fù)載進(jìn)行加密或認(rèn)證</p><p>　　隧道模式，對(duì)整個(gè) IP 數(shù)據(jù)色進(jìn)行加密或認(rèn)證。</p><p>　　IPSec 中的三個(gè)主要協(xié)議 </p><p>　　IPSec 的主要功能就是加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證 IPSec 還需要有密鑰的管理和交換的功能，以便為加密和認(rèn)證提供所需要的密鑰并對(duì)密鑰的使用進(jìn)行管理。以上三方面的工作分別由 AH ， ESP 和 IK

19、E 三個(gè)協(xié)議規(guī)定。</p><p>　　2.1 ESP （ Encapsulating Security Payload ）</p><p>　　ESP 協(xié)議主要用來(lái)處理對(duì) IP 數(shù)據(jù)包的加密，此外對(duì)認(rèn)證也提供某種程度的支持。 ESP 是與具體的加密算法相獨(dú)立的，幾乎可以支持各種對(duì)稱密鑰加密算法。 ESP 協(xié)議數(shù)據(jù)單元格式三個(gè)部分組成，除了頭部、加密數(shù)據(jù)部分外，在實(shí)施認(rèn)證時(shí)還包含一

20、個(gè)可選尾部。頭部有兩個(gè)域：安全策略索引（ SPl ）和序列號(hào)（ Sequence number ）。使用 ESP 進(jìn)行安全通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等?！鞍踩呗运饕笔褂脕?lái)標(biāo)識(shí)發(fā)送方是使用哪組加密策略來(lái)處理 IP 數(shù)據(jù)包的，當(dāng)接收方看到了這個(gè)序號(hào)就知道了對(duì)收到的 IP 數(shù)據(jù)包應(yīng)該如何處理。“序列號(hào)”用來(lái)區(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)部分除了包含原 IP 數(shù)據(jù)

21、包的有效負(fù)載，填充域（用來(lái)保證加密數(shù)據(jù)部分滿足塊加密的長(zhǎng)度要求）包含其余部分在傳輸時(shí)都是加密過(guò)的。其中“下一個(gè)頭部（ Next Header ）”用來(lái)指出有效負(fù)載部分使用的協(xié)議，可能是傳輸層協(xié)議（ TCP 或 UDP ），也可能還是 IPSec 協(xié)議（ ESP 或 AH ）。 通常， ESP 可以作為 </p><p>　　2.2 AH （ Authentication Header ）</p&g

22、t;<p>　　AH 只涉及到認(rèn)證，不涉及到加密。 AH 雖然在功能上和 ESP 有些重復(fù)，但 AH 除了對(duì)可以對(duì) IP 的有效負(fù)載進(jìn)行認(rèn)證外，還可以對(duì) IP 頭部實(shí)施認(rèn)證。主要是處理數(shù)據(jù)對(duì)，可以對(duì) IP 頭部進(jìn)行認(rèn)證，而 ESP 的認(rèn)證功能主要是面對(duì) IP 的有效負(fù)載。為了提供最基本的功能并保證互操作性， AH 必須包含對(duì) HMAC-SHA 和 HMAC- MD5 （ HMAC 是一種 SHA 和 MD5 都支持的對(duì)稱式

23、認(rèn)證系統(tǒng)）的支持。 AH 既可以單獨(dú)使用，也可在隧道模式下，或和 ESP 聯(lián)用。</p><p>　　2.3 IKE （ Internet Key Exchange ）</p><p>　　IKE 協(xié)議主要是對(duì)密鑰交換進(jìn)行管理，它功能有： 對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商。 方便的密鑰交換機(jī)制（這可能需要周期性的進(jìn)行）。 跟蹤對(duì)以上這些約定的實(shí)施。 </p><p

24、>　　第三章 VPN的特點(diǎn)分析</p><p><b>　　3.1 安全保障 </b></p><p>　　雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在公用IP網(wǎng)絡(luò)上建立一個(gè)點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)

25、的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。</p><p>　　3.2 服務(wù)質(zhì)量保證（QoS） </p><p>　　VPN網(wǎng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。也就是說(shuō)，需要不同，提供的服務(wù)也不同。如移動(dòng)辦公用戶，提供

26、廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞

27、，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。 </p><p>　　3.3可擴(kuò)充性和靈活性 </p><p>　　VPN必須能夠支持通過(guò)Intranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，

28、可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等對(duì)服務(wù)質(zhì)量要求很高的服務(wù)。</p><p><b>　　3.4 可管理性 </b></p><p>　　可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VP

29、N管理系統(tǒng)是必不可少的。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。</p><p>　　第四章 VPN的的實(shí)現(xiàn)技術(shù)</p><p>　　VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。</p><p><b>　　4.1 隧道技術(shù)</b></p>

30、;<p>　　隧道技術(shù)簡(jiǎn)單的說(shuō)就是：原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝 GREL，L2TP和PPTP。</p><p><b>　　GRE </b></p><p>　　GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過(guò)隧道的報(bào)文用一個(gè)新的

31、報(bào)文頭（GRE報(bào)文頭）進(jìn)行封裝然后帶著隧道終點(diǎn)地址放入隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí)，GRE報(bào)文頭被剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。 GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。</p><p>　　GRE隧道用來(lái)建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來(lái)看，VPN就象是通過(guò)普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接，配置成一個(gè)或多個(gè)隧道。在GRE隧道

32、技術(shù)中入口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間，而在隧道中流動(dòng)的原始報(bào)文用的是VPN的地址空間，這樣反過(guò)來(lái)就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來(lái)，多個(gè)VPN可以重復(fù)利用同一個(gè)地址空間而沒(méi)有沖突，這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來(lái)。從而滿足了VPN的關(guān)鍵要求：可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有，對(duì)

33、許多VPN所支持的體系結(jié)構(gòu)來(lái)說(shuō)，用同一種格式來(lái)支持多種協(xié)議同時(shí)又保留協(xié)議的功能，這是非常重要的。IP路由過(guò)濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開(kāi)來(lái)?；谒淼兰夹g(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對(duì)VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合，VPN能夠用其路由協(xié)議穿過(guò)符合VPN管理要求的虛擬網(wǎng)</p><p>　　雖然GRE隧道技術(shù)有很多優(yōu)點(diǎn)，

34、但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn)，例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的，所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的——每次隧道的終點(diǎn)改變，隧道要重新配置。隧道也可自動(dòng)配置，但有缺點(diǎn)，如不能考慮相關(guān)路由信息、性能問(wèn)題以及容易形成回路問(wèn)題。一旦形成回路，會(huì)極大惡化路由的效率。除此之外，通信分類機(jī)制是通過(guò)一個(gè)好的粒度級(jí)別來(lái)識(shí)別通信類型。如果通信分類過(guò)程是通過(guò)識(shí)別報(bào)文（進(jìn)入隧道前的）進(jìn)行的話，就會(huì)影響路由發(fā)送速

35、率的能力及服務(wù)性能。</p><p>　　GRE隧道技術(shù)是用在路由器中的，可以滿足Extranet VPN以及Intranet VPN的需求。但是在遠(yuǎn)程訪問(wèn)VPN中，多數(shù)用戶是采用撥號(hào)上網(wǎng)。這時(shí)可以通過(guò)L2TP和PPTP來(lái)加以解決。</p><p><b>　　L2TP和PPTP</b></p><p>　　L2TP是L2F（Layer 2 F

36、orwarding）和PPTP的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主動(dòng)”隧道，后者指“強(qiáng)制”隧道。“主動(dòng)”隧道是用戶為某種特定目的的請(qǐng)求建立的，而“強(qiáng)制”隧道則是在沒(méi)有任何來(lái)自用戶的動(dòng)作以及選擇的情況下建立的。</p><p>　　L2TP作為“強(qiáng)制”

37、隧道模型是讓撥號(hào)用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下：①用戶通過(guò)Modem與NAS建立連接；②用戶通過(guò)NAS的L2TP接入服務(wù)器身份認(rèn)證；③在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道；④用戶與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議（Point to Point Protocol，PPP）訪問(wèn)服務(wù)隧道；⑤用戶通過(guò)該隧道獲得VPN服務(wù)。</p>&

38、lt;p>　　與之相反的是，PPTP作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且，PPTP協(xié)商和隧道建立過(guò)程都沒(méi)有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過(guò)程如下：①用戶通過(guò)串口以撥號(hào)IP訪問(wèn)的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù)；②用戶通過(guò)路由信息定位PPTP接入服務(wù)器；③用戶形成一個(gè)PPTP虛擬接口；④用戶通過(guò)該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建

39、立一條PPP訪問(wèn)服務(wù)隧道；⑤用戶通過(guò)該隧道獲得VPN服務(wù)。</p><p>　　在L2TP中，用戶感覺(jué)不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對(duì)NAS是透明的；NAS不需要知道PPTP接入服務(wù)器的存在，只是簡(jiǎn)單地把PPTP流量作為普通IP流量處理。</p><p>　　采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。L2

40、TP比PPTP更安全，因?yàn)長(zhǎng)2TP接入服務(wù)器能夠確定用戶從哪里來(lái)的。L2TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動(dòng)的用戶。</p><p><b>　　4.2 加密技術(shù) </b></p><p>　　數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用

41、于IPSec的DES和三次DES。RC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強(qiáng)度比較高，可用于敏感的商業(yè)信息。</p><p>　　加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行；可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”：加密只在路由器中進(jìn)行，而終端與第一跳路由之間不加密。這種方法不太安全，因?yàn)閿?shù)

42、據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn)；而“隧道模式”方案，VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒(méi)有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的，需要特別的加密硬件。</p><p><b>　　4.3 QoS技術(shù)</b></p><p>　　通過(guò)隧道技術(shù)和加密技

43、術(shù)，已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的VPN。但是這樣的VPN性能上并不穩(wěn)定，管理上也不能完全滿足利用業(yè)的要求，所以加入了QoS技術(shù)。實(shí)行QoS應(yīng)該在主機(jī)網(wǎng)絡(luò)中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。</p><p>　　不同的應(yīng)用對(duì)網(wǎng)絡(luò)通信有不同的要求，這些要求可用如下參數(shù)總結(jié)：</p><p>　　·帶寬：網(wǎng)絡(luò)提供給用戶的傳輸率</p

44、><p>　　·反應(yīng)時(shí)間：用戶所能容忍的數(shù)據(jù)報(bào)傳遞延時(shí)；</p><p>　　·抖動(dòng)：延時(shí)的變化；</p><p>　　·丟失率：數(shù)據(jù)包丟失的比率。</p><p>　　網(wǎng)絡(luò)資源是有限的，有時(shí)用戶要求的網(wǎng)絡(luò)資源得不到滿足、通過(guò)QoS機(jī)制對(duì)用戶的網(wǎng)絡(luò)資源分配進(jìn)行控制以滿足應(yīng)用的需求。QoS機(jī)制具有通信處理機(jī)制以及供應(yīng)和

45、配置機(jī)制。通信處理機(jī)制包括802.1p、區(qū)分服務(wù)、綜合服務(wù)等等?，F(xiàn)在大多數(shù)局域網(wǎng)是基于IEEE802技術(shù)的，如以太網(wǎng)、令牌環(huán)、FDDI等，802.1p為這些局域網(wǎng)提供了一種支持QoS的機(jī)制。802.1p對(duì)鏈路層的802報(bào)文定義了一個(gè)可表達(dá)8種優(yōu)先級(jí)的字段。802.1p優(yōu)先級(jí)只在局域網(wǎng)中有效，一旦出了局域網(wǎng)，通過(guò)第三層設(shè)備時(shí)就被移走。DiffServ則是第三層的QoS機(jī)制，它在IP報(bào)文中定義了一個(gè)字段用作服務(wù)類型和優(yōu)先級(jí)，路由器通過(guò)它對(duì)報(bào)

46、文進(jìn)行排隊(duì)和調(diào)度。與802.1p、DiffServ不同的是，IntServ是一種服務(wù)框架，目前有兩種：保證服務(wù)和控制負(fù)載服務(wù)。保證服務(wù)許諾在保證的延時(shí)下傳輸一定的通信量；控制負(fù)載服務(wù)則同意在網(wǎng)絡(luò)輕負(fù)載的情況下傳輸一定的通信量。典型地，IntServ與資源預(yù)留協(xié)議（Resource reservation Protocol，RSVP）相關(guān)。IntServ服務(wù)定義了允許進(jìn)入的控制算法，決定多少通信量被允許進(jìn)入網(wǎng)絡(luò)</p>&l

47、t;p>　　供應(yīng)和配置機(jī)制包括RSVP、子網(wǎng)帶寬管理（subnet bandwidth manager，SBM）、政策機(jī)制和協(xié)議以及管理工具和協(xié)議。這里供應(yīng)機(jī)制指的是比較靜態(tài)的、比較長(zhǎng)期的管理任務(wù)，如：網(wǎng)絡(luò)設(shè)備的選擇、網(wǎng)絡(luò)設(shè)備的更新、接口添加刪除、拓?fù)浣Y(jié)構(gòu)的改變等等。而配置機(jī)制指的是比較動(dòng)態(tài)、比較短期的管理任務(wù)，如：流量處理的參數(shù)。</p><p>　　RSVP是第三層協(xié)議，它獨(dú)立于各種的網(wǎng)絡(luò)媒介。因此，R

48、SVP往往被認(rèn)為介于應(yīng)用層（或操作系統(tǒng)）與特定網(wǎng)絡(luò)媒介QoS機(jī)制之間的一個(gè)抽象層。RSVP有兩個(gè)重要的消息：PATH消息，從發(fā)送者到接收者；RESV消息，從接收者到始發(fā)者。 RSVP消息包含如下信息：①網(wǎng)絡(luò)如何識(shí)別一個(gè)會(huì)話流（分類信息）；②描述會(huì)話流的定量參數(shù)（如數(shù)據(jù)率）；③要求網(wǎng)絡(luò)為會(huì)話流提供的服務(wù)類型；④政策信息（如用戶標(biāo)識(shí)）。RSVP的工作流程如下：</p><p>　　會(huì)話發(fā)送者首先發(fā)送PATH消息，沿途

49、的設(shè)備若支持RSVP則進(jìn)行處理，否則繼續(xù)發(fā)送；</p><p>　　設(shè)備若能滿足資源要求，并且符合本地管理政策的話，則進(jìn)行資源分配，PATH消息繼續(xù)發(fā)送，否則向發(fā)送者發(fā)送拒絕消息；</p><p>　　會(huì)話接收者若對(duì)發(fā)送者要求的會(huì)話流認(rèn)同，則發(fā)送RESV消息，否則發(fā)送拒絕消息。</p><p>　　當(dāng)發(fā)送者收到RESV消息時(shí)，表示可以進(jìn)行會(huì)話，否則表示失敗。<

50、/p><p>　　SBM是對(duì)RSVP功能的加強(qiáng)，擴(kuò)大了對(duì)共享網(wǎng)絡(luò)的利用。在共享子網(wǎng)或LAN中包含大量交換機(jī)和網(wǎng)絡(luò)集線器，因此標(biāo)準(zhǔn)的RSVP對(duì)資源不能充分利用。支持RSVP的主機(jī)和路由器同意或拒絕會(huì)話流，是基于它們個(gè)人有效的資源而不是基于全局有效的共享資源。結(jié)果，共享子網(wǎng)的RSVP請(qǐng)求導(dǎo)致局部資源的負(fù)載過(guò)重。SBM可以解決這個(gè)問(wèn)題：協(xié)調(diào)智能設(shè)備。包括：具有SBM能力的主機(jī)、路由器以及交換機(jī)。這些設(shè)備自動(dòng)運(yùn)行一選舉協(xié)議，

51、選出最合適的設(shè)備作為DSBM（designated SBM）。當(dāng)交換機(jī)參與選舉時(shí)，它們會(huì)根據(jù)第二層的拓?fù)浣Y(jié)構(gòu)對(duì)子網(wǎng)進(jìn)行分割。主機(jī)和路由器發(fā)現(xiàn)最近的DSBM并把RSVP消息發(fā)送給它。然后，DSBM查看所有消息來(lái)影響資源的分配并提供允許進(jìn)入控制機(jī)制。</p><p>　　網(wǎng)絡(luò)管理員基于一定的政策進(jìn)行QoS機(jī)制配置。政策組成部分包括：政策數(shù)據(jù)，如用戶名；有權(quán)使用的網(wǎng)絡(luò)資源；政策決定點(diǎn)（policy decsion po

52、int，PDP）；政策加強(qiáng)點(diǎn)（policy enforcement point，PEP）以及它們之間的協(xié)議。傳統(tǒng)的由上而下（TopDown）的政策協(xié)議包括簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）、命令行接口（Command Line Interface，CLI）、命令開(kāi)放協(xié)議服務(wù)（Command Open Protocol Services，COPS）等。這些QoS機(jī)制相互作用使

53、網(wǎng)絡(luò)資源得到最大化利用，同時(shí)又向用戶提供了一個(gè)性能良好的網(wǎng)絡(luò)服務(wù)。</p><p>　　第五章 本例中可能原因分析</p><p>　　在VPN中，PPP數(shù)據(jù)包流是由一個(gè)LAN上的路由器發(fā)出，通過(guò)共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸，再到達(dá)另一個(gè)LAN上的路由器。由于廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，因而在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息也可能會(huì)被不法分子截取。如分支機(jī)構(gòu)從異地上發(fā)一個(gè)信息到總部時(shí)，這</p&g

54、t;<p>　　個(gè)信息包就有可能被人截取和利用。如果沒(méi)有專門(mén)的軟件對(duì)數(shù)據(jù)進(jìn)行控制，所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸， 因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。如果從一個(gè)聯(lián)網(wǎng)的UNIX工作站上使用"跟蹤路由"命令的話，就可以看見(jiàn)數(shù)據(jù)從客戶機(jī)傳送到服務(wù)器要經(jīng)過(guò)多少種不同的節(jié)點(diǎn)和系統(tǒng)，所有這些都被認(rèn)為是最容易受到黑客攻擊的目標(biāo)。一般地，一個(gè)監(jiān)聽(tīng)攻擊只需通過(guò)在傳輸數(shù)據(jù)的末尾獲取IP包的信息

55、即可以完成。 這種辦法并不需要特別的物理訪問(wèn)。如果對(duì)網(wǎng)絡(luò)用線具有直接的物理訪問(wèn)的話，還可以使用網(wǎng)絡(luò)診斷軟件來(lái)進(jìn)行竊聽(tīng)。黑客為了侵入員工的家用計(jì)算機(jī)，需要探測(cè)IP地址。有統(tǒng)計(jì)表明，使用撥號(hào)連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個(gè)固定的IP地址），會(huì)使黑客的入侵更為容易。因?yàn)?，撥?hào)連接在每次接入時(shí)都被分配不同的IP地址，雖然它也能被侵入，但相對(duì)要困難一些。一旦黑客

56、侵入了家庭計(jì)算機(jī)，他便能夠遠(yuǎn)程運(yùn)行員工的VPN客戶端軟件。</p><p>　　第六章 對(duì)網(wǎng)管的建議</p><p>　　一直以來(lái)，安全問(wèn)題是VPN的核心問(wèn)題。目前，VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的，可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。 對(duì)于從外部撥號(hào)訪問(wèn)總部?jī)?nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來(lái)的風(fēng)險(xiǎn)，必須嚴(yán)格控制其安全

57、性。首先，應(yīng)嚴(yán)格限制撥號(hào)上網(wǎng)用戶所能訪問(wèn)的系統(tǒng)信息和資源，這一功能可通過(guò)在撥號(hào)訪問(wèn)服務(wù)器后設(shè)置的Gauntlet防火墻來(lái)實(shí)現(xiàn)。其次，應(yīng)加強(qiáng)對(duì)撥號(hào)用戶的身份驗(yàn)證功能，使用TACACS、RADIUS等專用身份驗(yàn)證協(xié)議和服務(wù)器。一方面,可以實(shí)現(xiàn)對(duì)撥號(hào)用戶帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過(guò)程中采用PGP加密手段，避免用戶口令泄密的可能性.第三，在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business

58、Security， 對(duì)數(shù)據(jù)直接加密。另一種方法是采用Gauntlet防火墻所提供的VPN（虛擬專網(wǎng)）技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)， 也提供了針對(duì)單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?最后，必須有相應(yīng)的解決方案堵住遠(yuǎn)程訪問(wèn)VPN的安全漏洞，使員工與網(wǎng)絡(luò)</p><p>　　第七章 VPN典型應(yīng)用分析</p><p>　　VPN利用中，高度集成的、全面的

59、信息傳輸安全解決方案</p><p>　　天融信VPN解決方案</p><p>　　天融信VPN解決方案向客戶提供了一套縱向從總部到分支機(jī)構(gòu)到移動(dòng)辦公用戶、橫向從用戶本身到合作伙伴之間；對(duì)外廣域網(wǎng)之間，對(duì)內(nèi)局域網(wǎng)之間完整的信息傳輸安全解決方案。不僅僅可解決固定邊界之間的信息傳輸安全，還能夠解決固定邊界和終端用戶之間、終端用戶與終端用戶之間的信息安全傳輸。是真正能夠同時(shí)實(shí)現(xiàn)外網(wǎng)和內(nèi)網(wǎng)安全的端

60、到端安全解決方案。</p><p>　　天融信VPN解決方案應(yīng)用模式</p><p>　　1. 固定邊界和固定邊界之間，如網(wǎng)關(guān)－網(wǎng)關(guān)；</p><p>　　2. 固定邊界和移動(dòng)終端用戶之間，如網(wǎng)關(guān)－移動(dòng)客戶端；</p><p>　　3. 終端用戶和終端用戶之間，內(nèi)部客戶端－內(nèi)部客戶端；</p><p>　　4. 內(nèi)部客

61、戶端－外部移動(dòng)客戶端。</p><p>　　天融信VPN解決方案充分發(fā)揮了用戶網(wǎng)絡(luò)的資源優(yōu)勢(shì)，滿足用戶多方面的應(yīng)用模式，全面實(shí)現(xiàn)了用戶網(wǎng)絡(luò)應(yīng)用從內(nèi)到外的安全。是目前業(yè)界唯一高度集成的，真正端到端的信息傳輸安全解決方案。</p><p>　　天融信VPN解決方案典型應(yīng)用 </p><p>　　上圖是一個(gè)典型的使用VPN的網(wǎng)絡(luò)架構(gòu)圖，在中心網(wǎng)絡(luò)中，部署SJW11網(wǎng)關(guān)VP

62、N設(shè)備，保護(hù)中心網(wǎng)絡(luò)與廣域網(wǎng)伙伴之間安全信息傳輸。在中心內(nèi)部局域網(wǎng)，部署VRC到桌面用戶，實(shí)現(xiàn)中心局域網(wǎng)內(nèi)網(wǎng)用戶之間和內(nèi)網(wǎng)桌面用戶和廣域網(wǎng)之間信息交換的安全；在中心局域網(wǎng)，同時(shí)部署SCM以建立一個(gè)管理中心,對(duì)全網(wǎng)的VPN節(jié)點(diǎn)進(jìn)行管理和監(jiān)控。 </p><p>　　在分支機(jī)構(gòu)和合作伙伴，同樣使用SJW11網(wǎng)關(guān)VPN設(shè)備，實(shí)現(xiàn)與總部安全通信的同時(shí)，保證大數(shù)據(jù)量的通訊效率。而在移動(dòng)客戶端(客戶端4)和網(wǎng)絡(luò)內(nèi)部的客戶端（

63、客戶端1－3），使用VRC直接安裝在客戶端。 </p><p>　　這樣就構(gòu)建了一套完整的信息傳輸安全保障體系，既實(shí)現(xiàn)了固定邊界和固定邊界（總部和分機(jī)機(jī)構(gòu)、合作伙伴網(wǎng)絡(luò)之間）之間，又實(shí)現(xiàn)了客戶端與網(wǎng)關(guān)（如客戶端1－4和總部網(wǎng)關(guān)），客戶端和客戶端（如，客戶端1－2，2－3）之間的安全連接。同時(shí)還可以實(shí)現(xiàn)局域網(wǎng)內(nèi)部的信息安全保護(hù)（如客戶端1-客戶端5）。天融信VPN解決方案特點(diǎn) :</p><

64、p>　　一.高度集成模塊化、易于擴(kuò)展1. 可向網(wǎng)關(guān)、服務(wù)器和客戶端實(shí)施安全保護(hù);2. 可靈活的向多個(gè)點(diǎn)和分支機(jī)構(gòu)網(wǎng)絡(luò)和客戶端擴(kuò)展;3. 可靈活集成在TOPSEC解決方案中實(shí)現(xiàn)與防火墻、IDS等聯(lián)動(dòng)工作，使對(duì)網(wǎng) </p><p>　　二.高度安全可靠1. 提供從內(nèi)部局域網(wǎng)到外部廣域網(wǎng)全面的防護(hù)，滿足多類型應(yīng)用的安全需求;2. 和其他安全產(chǎn)品的有效集成，使網(wǎng)絡(luò)更加安全可靠。 </p>&

65、lt;p>　　三.易于管理、管理安全</p><p>　　1. 可同時(shí)管理很多網(wǎng)絡(luò)，簡(jiǎn)化管理的復(fù)雜性;2. 管理界面清晰、簡(jiǎn)潔;3. 多種級(jí)別管理方式、管理信息的傳輸全部加密。 </p><p>　　高度有效集成，不影響網(wǎng)絡(luò)使用 </p><p>　　降低成本，提高效益 </p><p><b>　　第八章　結(jié) 論&l

66、t;/b></p><p>　　通過(guò)Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)，虛擬專用網(wǎng)絡(luò)支持以安全的方式通過(guò)公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)企業(yè)資源。 </p><p>　　與使用專線撥打長(zhǎng)途或（1-800）電話連接企業(yè)的網(wǎng)絡(luò)接入服務(wù)器（NAS）不同，虛擬專用網(wǎng)絡(luò)用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接在撥號(hào)用戶和企業(yè)VPN服務(wù)器之間創(chuàng)建一個(gè)跨越Internet或其它公

67、共互聯(lián)網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)。</p><p>　　通過(guò)Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連</p><p>　　可以采用以下兩種方式使用VPN連接遠(yuǎn)程局域網(wǎng)絡(luò)。1.使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)?！　〔恍枰褂脙r(jià)格昂貴的長(zhǎng)距離專用電路，分支機(jī)構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過(guò)本地的ISP連通Internet。VPN軟件使用與當(dāng)本地ISP建立的連接和Internet網(wǎng)絡(luò)在分支機(jī)構(gòu)和企

68、業(yè)端路由器之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)。2.使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)?！　〔煌趥鹘y(tǒng)的使用連接分支機(jī)構(gòu)路由器的專線撥打長(zhǎng)途或（1-800）電話連接企業(yè)NAS的方式，分支機(jī)構(gòu)端的路由器可以通過(guò)撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越Internet的虛擬專用網(wǎng)絡(luò)?！　?yīng)當(dāng)注意在以上兩種方式中，是通過(guò)使用本地設(shè)備在分支機(jī)構(gòu)和企業(yè)部門(mén)與Internet之間建立連接

69、。無(wú)論是在客戶端還是服務(wù)器端都是通過(guò)撥打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費(fèi)用。建議作為VPN服務(wù)器的企業(yè)端路由器使用專線連接本地ISP。VPN服務(wù)器必須一天24小時(shí)對(duì)VPN數(shù)據(jù)流進(jìn)行監(jiān)聽(tīng)。</p><p>　　連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)　　在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門(mén)可能存儲(chǔ)有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門(mén)同整個(gè)企業(yè)網(wǎng)絡(luò)斷開(kāi)形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門(mén)的

70、重要信息，但是由于物理上的中斷，使其他部門(mén)的用戶無(wú)法，造成通訊上的困難?！　〔捎肰PN方案，通過(guò)使用一臺(tái)VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個(gè)企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對(duì)流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器，但是企業(yè)網(wǎng)絡(luò)管理人員通過(guò)使用VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問(wèn)敏感信息的權(quán)利。此外，可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的

71、安全性。沒(méi)有訪問(wèn)權(quán)利的用戶無(wú)法看到部門(mén)的局域網(wǎng)絡(luò)。</p><p><b>　　致謝</b></p><p>　　感謝錢(qián)李老師利用休息時(shí)間指導(dǎo)，修改論文，并提供相關(guān)書(shū)籍參考。</p><p>　　感謝康博南京培訓(xùn)部提供HCSE關(guān)于VPN概述書(shū)籍參考。</p><p>　　感謝雅哈IT社區(qū) www.wowomi.com 提

72、供論證實(shí)驗(yàn)基礎(chǔ)。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 謝希仁編著，《 計(jì)算機(jī)網(wǎng)絡(luò)》電子工業(yè)出版社，2002[2]《CISCO安全虛擬專用網(wǎng)絡(luò)》 人民郵電出版社，2002[3] 戴宗坤等編著,《VPN與網(wǎng)絡(luò)安全》電子工業(yè)出版社,2002[4]《實(shí)現(xiàn)CISCO VPN實(shí)踐指南》 云舟工作室,機(jī)械工業(yè)出版社,2001[5] 朱艷

73、琴等編著,《計(jì)算機(jī)組網(wǎng)技術(shù)教程》北京希望電子出版社,2002[6] 陳文云等編著,《網(wǎng)絡(luò)通信軟件設(shè)計(jì)原理及應(yīng)用》西安交通大學(xué)出版社,2000[7] 李春江等譯,《組網(wǎng)用網(wǎng):網(wǎng)絡(luò)運(yùn)營(yíng)保障技術(shù)》電子工業(yè)出版社,2001[8] 謝希仁編著，《計(jì)算機(jī)組網(wǎng)技術(shù)教程》電子工業(yè)出版社，2002[9] 張?jiān)骑w等編著,《網(wǎng)絡(luò)與信息安全管理》人民郵電出版社,2002[10]云舟工作室, 《虛擬專用網(wǎng)VPN基礎(chǔ)教程》機(jī)械工業(yè)出版社,2001[11